Trouvez votre prochaine offre d’emploi ou de mission freelance OWASP

Je recherche un Responsable Audit et Contrôle Cybersécurité pour une opportunité à Viroflay. Vos missions seront les suivantes : Suivre et centraliser les indicateurs de cybersécurité du Groupe Déployer le plan d’audit des systèmes d’information et assurer le suivi des plans de remédiation Veiller à la sécurité des services web (processus, audits, directives, validations en production) Apporter un support aux missions d’audit interne et de contrôle interne Assurer une veille ciblée sur la cybersécurité et les référentiels réglementaires Promulguer et faire respecter les politiques et directives de sécurité

Descriptif du poste En soutien du CISO de l'IT Production, prestation d'expertise Cybersécurité orientée AppSec. Expertise recherchée sur l'analyse sécurité de l'outillage Toolchain CICD, ainsi que sur le suivi d'adoption des outils et bonnes pratiques DevSecOps par les équipes IT. Missions Accompagnement et expertise Cybersécurité dans les projets liés à l'infrastructure, et plus précisément dans le cadre de projets de type tooling AppSec / DevSecOps, et leur adoption par les équipes de développement IT Réalisation d'analyses de risques sur les solutions d'infrastructure de la production mutualisée du groupe Validation des besoins de sécurité dans le cadre des projets d'infrastructure (fiche de sécurité digitale) Instruction Cybersécurité dans l'adoption de nouveaux standards technologiques (AppSec, Cloud, Containers, Infrastructure as Code) Promouvoir la sécurité applicative dès la conception (approche shift left pour les développements internes) Participation à la rédaction et à la mise à jour de procédures Cyber (en lien avec l'équipe contrôle) Suivi et remédiation des contrôles AppSec (ex : application security baseline) lors des projets, et en mode patrimoine (en lien avec l'équipe gouvernance) Renforcer l'intégration et le suivi des contrôles AppSec dans les activités TPRM

MISSIONS Le chef de projet technique interviendra sur l’ensemble du cycle de vie du projet : Remplacement / migration de la solution d’authentification et SSO Couverture des protocoles de fédération (SAML, OAuth2, OpenID Connect) Intégration avec les annuaires / IDM (AD, AAD, LDAP, IAM groupe…) Mise en place et migration de MFA / authentification forte Accompagnement à la migration des applications consommatrices (web, API, mobiles, partenaires) Missions principales Pilotage de projet Construire et maintenir le planning détaillé, le budget et le plan de ressources Organiser et animer les comités de pilotage et comités techniques (COPIL, COTEC) Coordonner l’ensemble des parties prenantes : sécurité, infra, réseau, équipes applicatives, éditeurs, intégrateurs, production Suivre les risques, les dépendances, le plan d’actions et les arbitrages (priorisation, jalons) Pilotage de la migration Construire la stratégie de migration depuis la solution existante vers la cible : Priorisation des applications et des flux Stratégie de cohabitation / bascule progressive Reversibilité / plan de repli Piloter les phases de POC, pilotes, recettes, puis généralisation Coordonner les mises en production, bascules, et périodes de co-existence Veiller à la communication et à l’accompagnement des équipes applicatives clientes du SSO Tests, sécurité, conformité Définir et suivre la stratégie de tests : fonctionnels, techniques, charge, sécurité S’assurer de la prise en compte des exigences de sécurité (IAM, authentification forte, conformité réglementaire bancaire) Valider la couverture des exigences de disponibilité, performance et résilience (SLA/SLO, PRA/PCA) Documentation & transfert vers le RUN Piloter la production de la documentation projet, d’exploitation et d’architecture Organiser le transfert de connaissances vers les équipes Run / Access Control / Support S’assurer que les processus ITIL (incident, changement, problème) sont adaptés à la nouvelle solution Profil recherché Expérience confirmée (≥ [5/7] ans) en chefferie de projet technique dans des environnements critiques (idéalement banque / assurance ou grand compte) Expérience significative sur au moins un projet de migration ou déploiement de solution d’authentification / SSO / IAM Bonne compréhension des protocoles d’authentification / fédération : SAML 2.0, OAuth2, OpenID Connect Connaissance des environnements d’infrastructure : Annuaire / IAM (AD, AAD, LDAP, etc.) Plateformes cloud (Azure / autres) appréciées Pratique des méthodologies de gestion de projet (cycle en V, agile / hybride) et des processus ITIL Capacité à dialoguer avec des profils très techniques (architectes, ingénieurs infra, sécurité) tout en assurant un reporting clair au management Compétences techniques / fonctionnelles appréciées Expérience avec une ou plusieurs solutions du marché : ForgeRock, Ping, Keycloak, Azure AD, WSO2, IBM, etc. Connaissance des enjeux réglementaires du secteur bancaire (sécurité, conformité, audit) Notions de sécurité applicative (OWASP, durcissement des parcours d’authentification, gestion des secrets) Connaissance des problématiques d’expérience utilisateur (UX) liées à l’authentification et au SSO Soft skills Leadership et capacité à fédérer dans un environnement multi-acteurs Excellente communication écrite et orale, capacité de synthèse pour le management Rigueur, organisation, sens des priorités et de la gestion des risques Esprit d’équipe, pédagogie, capacité à accompagner le changement Autonomie, proactivité, capacité à alerter et à proposer des solutions Compétences techniques SSO - Confirmé - Important Fédération d'identité (SAMLv2, WS-Fed...) - Confirmé - Important

Contexte : Le candidat évolue au sein d’une architecture micro-services ou monolithique modulaire, selon les besoins métiers. Il est responsable de la robustesse, de la sécurité et de la scalabilité des services back. Son périmètre couvre l’implémentation de la logique métier, l’exposition d’APIs (REST/GraphQL), la gestion des données, ainsi que la performance des traitements. Le candidat s'inscrit dans un contexte de développement industrialisé avec Docker/Docker Compose/Kubernetes pour le packaging et la livraison continue. Il collabore étroitement avec les développeurs frontend et les équipes DevOps. MISSIONS Activités principales : • Développement des APIs et services métiers robustes et scalables. • Conception de schémas de données et mise en place d’interactions efficaces avec les bases. • Sécurisation des endpoints (authentification, autorisation). • Mise en place des tests unitaires et d’intégration backend. • Participation à la revue d’architecture, veille technologique, et amélioration continue. • Rédaction de documentation technique et support de production en lien avec les Ops LIVRABLES Services métiers et APIs ; - - - - Schémas de données et scripts SQL ; Pipelines CI/CD pour backend ; Documentation technique et guides d’intégration ; PROFILS & Exigences techniques : • Maîtrise des frameworks backend : Node.js (Express.js, NestJS), Java Spring , Django, Python (voir introduction). • Bonne connaissance des bases de données relationnelles et l'ORM (PostgreSQL, MariaDB) et NoSQL (MongoDB, Redis, Elasticsearch, InfluxDB). • Expérience dans le design et la mise en œuvre d’APIs RESTful : Utilisation de standards comme OpenAPI (Swagger) et/ou GraphQL. • Maîtrise des conteneurs Docker, utilisation de Docker Compose, Kubernetes (bases) pour orchestrer les services. • Connaissance des outils de qualité de code (SonarQube, ...). • Gestion des logs (ELK stack, Graylog) et monitoring (Prometheus, Grafana) et gestion des exceptions, • Intégration dans des pipelines CI/CD avec GitLab CI ou Jenkins. • Connaissance des pratiques DevOps, GitOps, ou SRE est un plus • Sécurité des applications : OWASP Top 10, authentification (OAuth2, OpenID Connect), autorisation, gestion des secrets.

Bonjour, Nous recherchons pour l'un de nos clients un Chef de projet / Responsable de projet Cyber. Contexte : Dans le cadre de la mise en place d'un processus de gestion des vulnérabilités nous souhaitons un pilote pour nous aider à structure l'activité mener des pilotes sur quelques plateformes. Responsabilités : Direction de projet Cybersécurité Gestion des vulnérabilités applicatives (OWASP, CVE...), expérience dans la mise en place d'une politique VPM, dans la mise en place d'un VOC... Connaissance des usines de développements (Jenkins, Bitbucket...) Connaissance des outils de sécurisation des développements (SAST, SCA) Connaissance des outils de VOC

Localisation & Modalité Localisation : Paris 2eme (bourse/opéra) Présence sur site : 3J/sem Durée de la mission : 31/12/2026, renouvelable Contexte Dans un environnement Salesforce à forts enjeux de sécurité, conformité et fiabilité, le développeur intervient sur les plateformes Salesforce Core (Sales Cloud, Service Cloud) et Marketing Cloud, avec une forte responsabilité sur les aspects SecOps (sécurité applicative, gestion des accès, conformité, monitoring). Missions principales Développement & Intégration Encadrer/Auditer les développement de solutions sur : Salesforce Core (Apex, LWC, Flows) Salesforce Marketing Cloud (AMPscript, SSJS, SQL) Participer à l'industrialisation des développements (CI/CD) Sécurité & SecOps Mettre en œuvre les bonnes pratiques de sécurité Salesforce & recommandations groupe Gérer : Autorisations (Profiles, Permission Sets, Role Hierarchy) Sécuriser les données : Data Classification Encryption (Shield, Field-level security) Réaliser des audits de sécurité et des revues de code Participer à la gestion des incidents et vulnérabilités Marketing Cloud – Sécurité & Gouvernance Encadrer l'usage des Data Extensions (accès, rétention) Être garant du respect des bonnes pratiques de sécurité Qualité & Exploitation Automatiser les contrôles de sécurité Documenter les standards techniques et sécurité Collaborer avec les équipes Infra, Ciso et Métiers Compétences techniques Salesforce Core Apex, Lightning Web Components (LWC) Flows, Validation Rules Modèle de sécurité Salesforce Salesforce Shield (apprécié) Sécurité / SecOps OWASP Top 10 Sécurité des API CI/CD sécurisé (Git, SFDX, pipelines)

Accompagner la migration des solutions F5 WAF depuis les environnements legacy Contribuer à la transition des plateformes de sécurité applicative vers F5 WAF tout en assurant une faible perturbation des services Développer et maintenir la documentation relative à toutes les phases du projet de migration Assurer le partage de connaissances, la formation et la mise à jour de la documentation auprès des équipes techniques et parties prenantes Garantir une exploitation robuste, fiable et sécurisée de l’infrastructure F5 WAF Soutenir les projets de migration avec un impact minimal sur les services, en cohérence avec les objectifs de transformation digitale Permettre une réponse rapide aux incidents liés aux menaces, faux positifs et vulnérabilités applicatives Promouvoir les bonnes pratiques en gestion WAF : tuning des politiques, automatisation, normes de documentation Contribuer à la scalabilité, la résilience et l’amélioration des stratégies de mitigation des menaces

Une administration centrale régalienne engage un projet stratégique de modernisation d'applications critiques à fort impact national, avec de fortes exigences de sécurité, qualité et industrialisation des développements. Dans ce cadre, nous recherchons un Tech Lead Full Stack JAVA / REACT pour assurer le leadership technique hands-on au sein d'équipes agiles, garantir la qualité du code et accompagner la montée en compétence des développeurs. Rôle et responsabilités Vous interviendrez comme référent technique opérationnel et serez notamment responsable de : · Le leadership technique : cadrage des orientations techniques, définition des standards de développement, choix des patterns d'architecture et arbitrages techniques stratégiques. · La contribution active au code (60 %) sur les fonctionnalités complexes et critiques, tant front-end (React/TypeScript) que back-end (Java/Spring). · Le pilotage de la qualité logicielle : revues de code systématiques, promotion du clean code, définition et suivi de la stratégie de tests (unitaires, intégration, charge). · La mise en place et le maintien des chaînes CI/CD : automatisation des builds, tests et déploiements (GitLab CI/CD), containerisation (Docker) et orchestration (Kubernetes selon périmètre). · L'accompagnement et la montée en compétence des développeurs juniors et confirmés : mentorat technique, transfert de connaissance, animation d'ateliers techniques. · La coordination technique avec les parties prenantes projet (MOE, OPS, Product Owners, architectes SI). · Le respect des normes de sécurité, performance et qualité logicielle dans un environnement sensible et fortement normé. · La veille technologique et la proposition d'amélioration continue des pratiques de développement (craftsmanship, TDD). Compétences techniques attendues · Front-end : React (TypeScript fortement apprécié), hooks, state management (Redux, Context API). · Back-end : Java 8+ (idéalement Java 11/17), Spring Boot, Spring MVC, Spring Data, Spring Security, Hibernate. · BDD : PostgreSQL (modélisation, optimisation, requêtes complexes). · DevOps : GitLab CI/CD, Docker, Kubernetes, infrastructure as code (Terraform/Ansible appréciés). · Environnement : Cloud (AWS, Azure, OVH Cloud), environnements conteneurisés. · Qualité : SonarQube, analyse de code, stratégie de tests automatisés. · Sécurité : OWASP Top 10, sécurisation des API, gestion des authentifications/autorisations, conformité RGPD. Méthodologie : Agile (Scrum/Kanban), Jira, Git (GitFlow), craftsmanship, TDD/BDD appréciés.

🚀 Contexte Vous rejoindrez un projet dans le secteur industriel, pour intervenir sur un Espace Client à fort trafic (60 000 utilisateurs actifs) , plateforme critique au cœur de la relation client. Objectif : garantir performance, scalabilité et innovation , tout en assurant le maintien en condition opérationnelle. 🛠 Missions 🔹Développement et maintenance : Backend : API REST PHP Laravel avec sécurité nécessaire (authentification OAuth, SSO, OpenID..) et services en NodeJS Frontend : Vue.js Maintien en condition opérationnelle de l'Espace Client 🔹Assurance qualité : Application des bonnes pratiques de développement Respect des normes de sécurité (OWASP) et de confidentialité (RGPD) Garantie de la maintenabilité à long terme 🔹Optimisation : Adaptation et configuration du CI/CD Modélisation et optimisation de la base de données MySQL Amélioration continue des performances pour une expérience client optimale

Vous rejoignez un projet dans le secteur industriel , au sein d’un espace client à fort trafic (plusieurs dizaines de milliers d’utilisateurs actifs) , plateforme stratégique au cœur de la relation client. Votre rôle sera de garantir la performance, la scalabilité et la fiabilité de la plateforme, tout en contribuant à son évolution continue. 🔹 Missions principales Développement & maintenance Développement backend en PHP (Laravel) avec API REST sécurisées (OAuth, SSO, OpenID) Participation à des services en Node.js Développement frontend en Vue.js Maintien en condition opérationnelle de la plateforme Qualité & sécurité Application des bonnes pratiques de développement Respect des standards de sécurité ( OWASP ) et conformité RGPD Garantie de la maintenabilité du code Performance & optimisation Amélioration et configuration du CI/CD Optimisation de la base de données ( MySQL ) Amélioration continue des performances

Bonjour, Pour le compte de l'un de mes clients lyonnais, je suis à la recherche d'un Tech Lead PHP/Symfony. Le Leadership technique souhaité : • 8+ ans d’expérience en développements • 3+ ans dans un rôle de leadership technique • Expertise approfondie en PHP/Symfony ou Angular. • Expérience prouvée de la prise de décision en architecture • Elasticsearch connaissances avancées • Meilleures pratiques OWASP / Audits de sécurité • Orchestration des jobs async (Symfony Messenger, Supervisor, Cron jobs).

Analyste cybersécurité 2 ans Niort (3 jours sur site) Splunk (SIEM), GitLab CI/CD, Ansible / Terraform, GCP (Cloud), OWASP / Sécurité Web 01/04/2026 2 ans Niort (3 jours sur site) Splunk (SIEM), GitLab CI/CD, Ansible / Terraform, GCP (Cloud), OWASP / Sécurité Web L’analyste cybersécurité interviendra sur un périmètre couvrant l’administration des briques de sécurité, la gestion des vulnérabilités, l’analyse des menaces et la sécurisation des opérations. Son rôle sera d’assurer la mise en œuvre opérationnelle des mesures de sécurité, la vérification de la conformité et la cohérence technique des dispositifs au sein de l’écosystème digital du client. Il produira plusieurs livrables structurants : • les analyses de vulnérabilités et rapports de sécurité, permettant d’orienter les actions de remédiation ; • les dossiers techniques associés aux changements et évolutions, garantissant la conformité et la traçabilité ; • les comptes rendus d’investigation et de traitement des alertes ; • la documentation opérationnelle et les bonnes pratiques sécurité à destination des équipes.

Les missions sont les suivantes : Mener des audits sur les environnements existants Analyser les usages et coûts Cloud Reprendre les sujets des développeurs actuels Faire le lien avec le prestataire actuel sur la gestion de l'infrastructure Aide à la conception et la mise en œuvre des pipelines CI/CD Sécuriser la chaine CI/CD Renforcer la sécurité de l'environnement Cloud AWS Sensibiliser les équipes (atelier sécurité CI/CD et bonnes pratiques OWASP) Intégrer et former les futurs collaborateurs de l'équipe Faire évoluer les environnements et les transformer

Description Le client est un acteur historique de l’édition de logiciels pour le secteur public, parapublic, et privé. L’entreprise accompagne plus de 4 000 organismes publics et 1 200 entreprises privées. Ils conçoivent des logiciels performants, fluides et sécurisés, avec une mission : mettre l’innovation technologique au service du mieux-vivre ensemble . Missions Rattaché au RSSI, vous prenez la responsabilité de la gouvernance globale de l’usine logicielle et jouez un rôle clé dans la maîtrise de la qualité, de la fiabilité et de la sécurité de nos produits. Vous structurez, pilotez et faites évoluer les processus, standards et outillages DevSecOps, en assurant leur alignement avec les référentiels de sécurité (OWASP, NIST, ISO) et les enjeux de conformité. Votre leadership technique et votre capacité à fédérer les équipes vous permettent d’ancrer durablement une culture d’ingénierie responsable et sécurisée. Vos responsabilités clés 1. Gouvernance & Pilotage Définir la stratégie de l’usine logicielle et en assurer la cohérence transverse (Dev, Ops, Sec, Cloud, Qualité). Établir les standards, politiques et processus DevSecOps, et garantir leur application. Piloter la conformité continue aux référentiels (ISO 27001/27002, NIST, OWASP). Mettre en place les tableaux de bord de pilotage (qualité, sécurité, fiabilité, auditabilité). Assurer la gestion des risques liés à la supply chain logicielle et aux pipelines CI/CD. Conduire les arbitrages techniques et organisationnels nécessaires à la performance de l’usine logicielle. 2. Sécurité de la chaîne CI/CD & GitOps Concevoir et maintenir des pipelines GitLab CI modulaires, rapides, observables et sécurisés. Définir les stratégies GitOps multi-environnements (ArgoCD), incluant progressive delivery (canary, blue/green). Encadrer le versioning produit et la gestion des branches. Mettre en œuvre SBOM, dependency checks, signatures d’artefacts et contrôles d’intégrité. Garantir la conformité de la chaîne CI/CD aux référentiels sécurité. 3. Sécurité Applicative & Supply Chain Intégrer et gouverner les scans SAST, SCA, DAST, IaC, container. Définir les Quality/Security Gates (vulnérabilités, coverage, dette). Superviser la production et l’exploitation des SBOM (CycloneDX/SPDX). Prioriser la remédiation via une approche risque (CVSS + exploitability + reachability). Piloter la gestion des secrets et KMS (Vault, External Secrets, Sealed Secrets). Garantir la conformité continue du code et des dépendances (Shift Left Security). 4. Observabilité & Fiabilité Définir les standards logs/métriques/traces (OpenTelemetry, Prometheus, Grafana, Loki/ELK). Piloter les SLO/SLI, l’alerting et les mécanismes de fiabilité (burn rate). Encadrer les tests de résilience (chaos engineering). Mettre en place les tableaux de bord sécurité/fiabilité et les indicateurs ISO/SOC2. 5. Accompagnement, Leadership & Culture Former, coacher et accompagner les équipes de développement sur les pratiques DevSecOps. Porter la culture sécurité, conformité et excellence technique au sein de l’organisation. Produire et maintenir la documentation stratégique et opérationnelle. Fédérer les équipes autour d’une vision commune de l’ingénierie sécurisée. 6. Automatisation & Tooling Développer et maintenir des templates GitLab CI réutilisables. Automatiser signatures, SBOM, attestations et contrôles de sécurité. Déployer des bots (merge automation, dependency updates, security notifications). Automatiser la génération de preuves d’audit ISO 27001 / SOC2. Profil 5+ ans d’expérience en DevOps / Platform / Security Engineering. Solide expérience en développement logiciel (Java, Python, Go…) et compréhension du SDLC. Maîtrise avancée GitLab CI/CD et Git. Expertise Kubernetes (GKE apprécié). Maîtrise Terraform. Expérience cloud privé / on-prem. Pratique GitOps (ArgoCD, canary, blue/green). Maîtrise supply chain security (SBOM, signatures…). Intégration SAST / SCA / DAST dans les pipelines. Observabilité (OpenTelemetry, SLO/SLI) & pratiques SRE. Connaissances cryptographie appliquée (TLS, certificats). Solide culture sécurité opérationnelle (incidents, durcissement, secrets, conformité). Connaissance OWASP, NIST, CIS Benchmarks. Participation à un SMSI (ISO 27001).

Le consultant interviendra principalement pour reprendre et opérer les activités Cloud SecOps existantes, tout en préparant et en réalisant la passation structurée vers le ou les futurs acteurs internes/externes qui reprendront le poste. N’hésitez plus à proposer votre profil si vous avez… Une expérience confirmée sur Google Cloud Platform (une expérience supplémentaire sur Azure est un plus) Une certification Google Cloud Architect ou Security Engineer (un atout) Une très bonne maîtrise de Terraform et des pratiques IaC. Une expérience des outils d’automatisation, de CI/CD et de gestion de code source (Git, GitHub, Bitbucket) Une bonne compréhension des concepts et technologies sécuritaires : VPC, firewall, IAM, cryptographie, WAF, secrets management, logging & monitoring Une expérience (ou forte appétence) sur les solutions CSPM (Wiz, Prisma Cloud, Defender for Cloud, etc.) pour la gestion des risques Cloud Une familiarité avec des outils SAST (SonarQube, Checkmarx, Snyk Code, etc.) constitue un atout dans un contexte DevSecOps. Des connaissances en technologies Web (HTTPS, REST, CDN, Load Balancing) Une bonne maîtrise des OS Linux/Unix et des langages Bash/PowerShell/Python Une bonne connaissance du Secret Management (Google Secrets Manager, Azure Key Vault) Une bonne maîtrise de la conteneurisation (Docker) et des plateformes orchestrées (Kubernetes, GKE, AKS) Une appétence avérée pour les IA modernes (Claude, Gemini, Vertex AI) et les technologies associées (MCP, AI toolchains) Une connaissance des méthodes d’évaluation des risques et des référentiels (OWASP) un plus ! Une bonne compréhension des CIS Controls et/ou CIS Benchmarks pour guider les pratiques de durcissement et de conformité Cloud. Des notions sur la réglementation sécurité (protection des données, privacy…)

Objectifs et livrables Développement et maintenance : Backend : API REST PHP Laravel avec sécurité nécessaire (authentification OAuth, SSO, OpenID..) et services en NodeJS Frontend : Vue.js Maintien en condition opérationnelle de l'Espace Client Assurance qualité : Application des bonnes pratiques de développement Respect des normes de sécurité (OWASP) et de confidentialité (RGPD) Garantie de la maintenabilité à long terme Optimisation : Adaptation et configuration du CI/CD Modélisation et optimisation de la base de données MySQL Amélioration continue des performances pour une expérience client optimale Compétences techniques requises : PHP (Laravel) Vue.js NodeJS Docker Qualités comportementales : Excellent relationnel pour évoluer dans un environnement Agile Capacité de vulgarisation pour communiquer avec les équipes fonctionnelles et les clients internes Fiabilité, bienveillance et esprit constructif Force de proposition et capacité d'adaptation Intérêt pour la veille technologique et l'amélioration continue Livrables Attendus Le prestataire s'engage à fournir les éléments suivants au fil de l'eau : Code source versionné et documenté. Cahiers de tests et rapports de validation. Documentation d'architecture technique (DAT) et schémas de données. Reporting d'activité régulier. Compétences demandées Compétences Niveau de compétence DOCKER Avancé NodeJS Avancé VUE.JS Avancé PHP / Laravel